Zugriffssteuerung für Apps konfigurieren

Auf dieser Seite wird beschrieben, wie ein Gemini Enterprise-Administrator die API verwenden kann, um die detaillierte Zugriffssteuerung für einzelne Gemini Enterprise-Apps zu verwalten.

Standardmäßig werden IAM-Berechtigungen oft auf Projektebene verwaltet. IAM auf App-Ebene ermöglicht eine detailliertere Steuerung, sodass Administratoren Folgendes tun können:

Sie können den Nutzerzugriff auf bestimmte Apps innerhalb desselben Google Cloud -Projekts einschränken.
Richten Sie Berechtigungen an den Anforderungen der Organisation und Datensilos für Ihre Gemini Enterprise-Bereitstellungen aus.

Nehmen wir beispielsweise eine Organisation mit einer HR-App und einer unternehmensweiten App an. Ein HR-Teammitglied mit Berechtigungen auf Projektebene kann auf beide Apps zugreifen. Wenn Sie dagegen eine IAM-Richtlinie auf App-Ebene verwenden, können Sie einem Vertriebsmitarbeiter Zugriff nur auf die unternehmensweite App gewähren und so verhindern, dass er auf die HR-App zugreift.

Diagramm mit Beispielen für IAM-Richtlinien auf App-Ebene.

Hinweise

Prüfen Sie, ob Sie die Rolle Gemini Enterprise-Administrator haben.
Prüfen Sie, ob alle Gemini Enterprise-Nutzer mit einer gültigen Lizenz die Rolle Gemini Enterprise Restricted User haben.

IAM-Richtlinien für Apps verwalten

Um den Zugriff auf Ihre Gemini Enterprise-App zu verwalten, können Sie die API-Methoden getIamPolicy und setIamPolicy verwenden.

In den folgenden Schritten wird beschrieben, wie Sie die aktuelle Richtlinie abrufen und dann aktualisieren, um Nutzerzugriff zu gewähren oder zu widerrufen.

IAM-Richtlinie für die App abrufen

Rufen Sie die aktuelle IAM-Richtlinie Ihrer App mit der Methode getIamPolicy ab. Es wird empfohlen, die vorhandene Richtlinie zuerst abzurufen, um zu vermeiden, dass aktuelle Berechtigungen überschrieben werden.

REST

Wichtiger Begriff: In Gemini Enterprise wird der Begriff App im Zusammenhang mit APIs synonym zum Begriff Engine verwendet. Eine Gemini Enterprise-Engine ist eine generische Suchmaschine, bei der das Feld app_type auf APP_TYPE_INTRANET festgelegt ist.

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID:getIamPolicy"

Ersetzen Sie Folgendes:

PROJECT_ID: Die Projekt-ID.
ENDPOINT_LOCATION: die Multiregion für Ihre API-Anfrage. Geben Sie einen der folgenden Werte an:
- us für die Multiregion „USA“
- eu für die Multiregion „EU“
- global für den Standort „Global“
Weitere Informationen zum Festlegen multiregionaler Standorte für Ihren Datenspeicher.
LOCATION: Der multiregionale Standort Ihres Datenspeichers: global, us oder eu.
APP_ID: die ID der App, die Sie erstellen möchten.

Hinweis :Kopieren Sie den etag-Wert aus der Antwort. Dieser Wert ist erforderlich, um die IAM-Richtlinie zu aktualisieren. Der Wert von etag ändert sich mit jeder Richtlinienaktualisierung.

Beispielbefehl und -ergebnis

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://global-discoveryengine.googleapis.com/v1/projects/my-project-123/locations/global/collections/default_collection/engines/my-app:getIamPolicy"

{
  "version": 1,
  "etag": "1234567890"
}

IAM-Richtlinie der App aktualisieren

Wenn Sie Nutzern Zugriff auf die App gewähren oder entziehen möchten, aktualisieren Sie die IAM-Richtlinie der App mit der Methode setIamPolicy.

In der IAM-Richtlinie wird die Rolle Gemini Enterprise-Nutzer (roles/discoveryengine.agentspaceUser) verwendet, um Nutzern direkten Zugriff auf die App zu gewähren.

REST

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
      "policy": {
         "etag": "ETAG",
         "bindings": [
          {
            "role": "roles/discoveryengine.agentspaceUser",
            "members": [
              "user:USER_EMAIL_1",
              "user:USER_EMAIL_2"
            ]
          }
        ]
      }
    }' \
"https://ENDPOINT_LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/APP_ID:setIamPolicy"

Ersetzen Sie Folgendes:

ETAG: Der Wert etag, den Sie als Antwort erhalten haben, als Sie die Methode getIamPolicy verwendet haben.
USER_EMAIL_1, USER_EMAIL_2: eine oder mehrere E-Mail-Adressen von Nutzern.
- Um Zugriff zu gewähren, fügen Sie dem Array members die E-Mail-Adressen der Nutzer hinzu. Jede Adresse muss mit user beginnen:
  
  Hinweis: Achten Sie darauf, dass vor oder nach der E-Mail-Adresse keine zusätzlichen Leerzeichen stehen.
- Wenn Sie den Zugriff widerrufen möchten, entfernen Sie die E-Mail-Adressen der Nutzer aus dem Array members.
PROJECT_ID: die Projekt-ID.
ENDPOINT_LOCATION: die Multiregion für Ihre API-Anfrage. Geben Sie einen der folgenden Werte an:
- us für die Multiregion „USA“
- eu für die Multiregion „EU“
- global für den Standort „Global“
Weitere Informationen zum Festlegen multiregionaler Standorte für Ihren Datenspeicher.
LOCATION: Der multiregionale Standort Ihres Datenspeichers: global, us oder eu.
APP_ID: die ID der App, die Sie erstellen möchten.

Hinweis :Der Wert etag ändert sich bei jeder Richtlinienaktualisierung. Wenn Sie die Richtlinie noch einmal aktualisieren möchten, müssen Sie zuerst die neue etag abrufen. Folgen Sie dazu der Anleitung unter IAM-Richtlinie der App abrufen.

Beispielbefehl und -ergebnis

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
      "policy": {
         "etag": "1234567890",
         "bindings": [
          {
            "role": "roles/discoveryengine.agentspaceUser",
            "members": [
              "user:cloudysanfrancisco@gmail.com",
              "user:jeffersonloveshiking@gmail.com"
            ]
          }
        ]
      }
    }' \
"https://global-discoveryengine.googleapis.com/v1/projects/my-project-123/locations/global/collections/default_collection/engines/my-app:setIamPolicy"

{
  "version": 1,
  "etag": "2345678901",
  "bindings": [
    {
      "role": "roles/discoveryengine.agentspaceUser",
      "members": [
        "user:cloudysanfrancisco@gmail.com",
        "user:jeffersonloveshiking@gmail.com"
      ]
    }
  ]
}

Nächste Schritte

Wenn Sie eine App mit einer IAM-Richtlinie löschen möchten, können Sie die Nutzer aus der Richtlinie entfernen, bevor Sie die App löschen. Weitere Informationen finden Sie unter Best Practices zum Löschen einer App mit einer IAM-Richtlinie.

Zugriffssteuerung für Apps konfigurieren Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweise

IAM-Richtlinien für Apps verwalten

IAM-Richtlinie für die App abrufen

REST

Beispielbefehl und -ergebnis

IAM-Richtlinie der App aktualisieren

REST

Beispielbefehl und -ergebnis

Nächste Schritte

Zugriffssteuerung für Apps konfigurieren